Plateforme
wordpress
Composant
echo-rss-post-generator
Corrigé dans
5.4.7
La vulnérabilité CVE-2024-9265 est une élévation de privilèges critique affectant le plugin Echo RSS Feed Post Generator pour WordPress. Cette faille permet à un attaquant non authentifié de contourner les contrôles d'autorisation et de s'enregistrer en tant qu'administrateur, compromettant ainsi la sécurité du site web. Les versions concernées sont celles inférieures ou égales à 5.4.6. Une solution consiste à mettre à jour le plugin vers une version corrigée.
L'impact de cette vulnérabilité est significatif. Un attaquant exploitant cette faille peut obtenir un contrôle total sur le site WordPress, y compris la modification de contenu, l'installation de logiciels malveillants, l'accès aux données sensibles des utilisateurs et la compromission de l'ensemble de l'infrastructure. L'attaquant peut également utiliser le site compromis pour lancer des attaques contre d'autres systèmes sur le réseau. Cette vulnérabilité est particulièrement préoccupante car elle ne nécessite aucune authentification préalable, ce qui la rend facilement exploitable.
Cette vulnérabilité a été rendue publique le 1er octobre 2024. Il n'y a pas d'indications d'une exploitation active à grande échelle à ce jour, mais la simplicité de l'exploitation suggère qu'elle pourrait être rapidement exploitée. La vulnérabilité n'est pas encore répertoriée sur le KEV de CISA. Des preuves de concept publiques sont susceptibles d'émerger rapidement.
WordPress websites using the Echo RSS Feed Post Generator plugin, particularly those running versions 5.4.6 or earlier, are at significant risk. Shared hosting environments where multiple WordPress installations share the same server are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others. Websites with weak password policies or those that haven't implemented multi-factor authentication are also at increased risk.
• wordpress / composer / npm:
wp plugin list | grep 'Echo RSS Feed Post Generator'• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
wp plugin status | grep 'Echo RSS Feed Post Generator'• wordpress / composer / npm:
wp plugin version 'Echo RSS Feed Post Generator'disclosure
Statut de l'Exploit
EPSS
0.35% (percentile 58%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Echo RSS Feed Post Generator vers une version corrigée dès que possible. Si la mise à jour n'est pas immédiatement possible, il est recommandé de restreindre l'accès à la page d'inscription via un pare-feu applicatif web (WAF) ou un proxy inverse. Il est également possible de modifier le fichier echo-rss-feed-post-generator.php pour ajouter des vérifications de rôle plus strictes avant d'autoriser l'enregistrement d'un nouvel utilisateur. Après la mise à jour, vérifiez que les nouveaux utilisateurs ne peuvent pas s'enregistrer avec des rôles administratifs en tentant de vous inscrire avec un compte test.
Mettez à jour le plugin Echo RSS Feed Post Generator vers la dernière version disponible. Cela corrigera la vulnérabilité d'escalade de privilèges qui permet à des attaquants non authentifiés de s'enregistrer en tant qu'administrateurs.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-9265 est une vulnérabilité critique qui permet à un attaquant non authentifié de s'enregistrer en tant qu'administrateur sur un site WordPress utilisant le plugin Echo RSS Feed Post Generator, compromettant ainsi la sécurité du site.
Oui, si vous utilisez le plugin Echo RSS Feed Post Generator et que votre version est inférieure ou égale à 5.4.6, vous êtes affecté par cette vulnérabilité.
La solution la plus simple est de mettre à jour le plugin Echo RSS Feed Post Generator vers la dernière version disponible. Si la mise à jour n'est pas possible immédiatement, appliquez des mesures d'atténuation comme un WAF.
Bien qu'il n'y ait pas de preuves d'exploitation active à grande échelle à ce jour, la simplicité de l'exploitation suggère qu'il pourrait être exploité rapidement.
Consultez le site web du plugin ou le dépôt GitHub pour l'avis officiel concernant CVE-2024-9265.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.